Mandatory Access Control (MAC)

Mandatory Access Control (MAC) ist eine Sicherheitsstrategie zur strikten Steuerung von Zugriffsrechten. MAC-Richtlinien definieren, auf welche Ressourcen ein Anwender in einem Dateisystem zugreifen darf und auf welche nicht. Der Begriff wird im Deutschen in etwa mit „zwingend erforderliche Zugriffskontrolle” übersetzt. MAC-Kriterien werden durch den Systemadministrator festgelegt, durch das Betriebssystem oder einen Security-Kernel durchgesetzt und können nicht durch Endanwender manipuliert werden.

MAC-Systeme werden häufig in Einrichtungen mit hohen Sicherheitsanforderungen eingesetzt. Dabei wird jedem Objekt in einem Dateisystem eine Sicherheitsstufe zugeordnet. Beispiele dafür sind „vertraulich”, „geheim” und „streng geheim”. Jeder Anwender und jedes Gerät innerhalb des Systems erhalten eine vergleichbare Einstufung. Jedes Mal, wenn eine Person oder ein Gerät auf eine bestimmte Ressource zugreifen will, prüft das Betriebssystem oder der Security-Kernel die Zugriffsrechte und legt fest, ob ein Zugriff erlaubt wird. Obwohl Mandatory Access Control zu den sicheren Zugriffssystemen gehört, erfordert es doch eine sehr sorgfältige Planung und ein fortwährendes Überprüfen der zugewiesenen Rechte - so-wohl bei den Objekten als auch bei den Anwendern.

Der Gegensatz zu MAC ist Discretionary Access Control (DAC). Dieses System erlaubt Nutzern, eigene Richtlinien und Zugriffsregeln zu definieren. In der Praxis häufig anzutreffen ist die rollenbasierte Zugriffskontrolle (Role Based Access Control, RBAC). Dabei werden die Zugriffsrechte eines Benutzers über seine Rolle im Unternehmen beziehungsweise der Organisation definiert. Diese Rolle kann beispielswiese über die Zugehörigkeit zu einer Abteilung oder einer Hierarchieebene definiert werden.